Политика конфиденциальности

MailTwin выпускает Smilodon AS — норвежская компания. Эта политика объясняет, какие данные обрабатывает MailTwin, куда они уходят и какие у Вас есть варианты выбора. Продукт устроен так, что чувствительная часть Вашей почтовой жизни никогда не покидает Ваш Mac.

Краткая суть в одном абзаце

MailTwin работает на Вашем Mac. API-ключи лежат в Связке ключей macOS; MailTwin их никогда не передаёт. Когда Вы запускаете действие ИИ, тело выбранного письма плюс небольшой фрагмент стилевого контекста из Вашей же отправленной почты идут напрямую с Вашего Mac выбранному Вами провайдеру ИИ (Anthropic, OpenAI, Google, xAI, Groq, DeepSeek или Вашему локальному Ollama). У MailTwin нет бэкенда для трафика к ИИ — никакого сервера MailTwin в этом пути не существует. Мы размещаем поток автообновлений (updates.mailtwin.ai), точку приёма телеметрии с явным согласием (telemetry.mailtwin.ai) и пользуемся API LemonSqueezy для лицензий — и всё.

Данные, которые остаются на Вашем Mac

• API-ключи — Связка ключей macOS, служба ai.mailtwin.keys. Никогда не передаются MailTwin.
• Лицензионный ключ и идентификатор экземпляра LemonSqueezy — та же служба в Связке ключей. Используются для проверки активации в LemonSqueezy.
• Проиндексированные профили стиля — образцы писем из Вашей папки «Отправленные», тело сжато LZFSE, хранятся в ~/Library/Application Support/MailTwin/.
• Журнал запросов — обезличенные превью последних 200 запросов к ИИ, видны в «Настройки → Конфиденциальность».
• Учёт расходов — суточные суммы токенов для работы мягких лимитов.
• Идентификация (имя и e-mail, заданные при онбординге) — UserDefaults. Используется в шаблонах приветствия. Никогда не уходит с телеметрией.

Данные, которые уходят выбранному Вами провайдеру ИИ

Когда Вы запускаете действие ИИ (ответ, резюме, улучшение черновика и т. д.), мы отправляем провайдеру:

• Тело письма, на которое Вы реагируете (или Ваш черновик).
• Короткий промпт с описанием действия.
• Фрагмент стилевого контекста, собранный из не более чем 5 Ваших отправленных писем, по возможности подобранных по тому же адресату / теме / учётной записи.

К этому трафику применяется политика конфиденциальности провайдера. Аутентифицирует запрос Ваш собственный API-ключ у этого провайдера; для провайдера запрос выглядит так же, как любой другой запрос с Вашего аккаунта.

MailTwin никогда не отправляет провайдеру: темы писем, адреса получателей сверх того, что есть в теле, содержимое других Ваших учётных записей, Вашу Связку ключей, Ваш лицензионный ключ, Ваше имя и e-mail.

Автообновление (updates.mailtwin.ai)

MailTwin использует Sparkle 2 и проверяет обновления примерно раз в 24 часа. Запрос забирает XML-файл appcast по адресу https://updates.mailtwin.ai/appcast.xml. У запроса User-Agent вида MailTwin/<build>. Cloudflare (отдающий файл) фиксирует IP запроса и User-Agent в стандартных журналах CDN. Мы не связываем эти запросы с каким-либо другим идентификатором.

Обновления подписаны закрытым ключом EdDSA, который держит Smilodon AS. Sparkle проверяет подпись по открытому ключу, вшитому в MailTwin, до установки — даже если бы наш сервер обновлений был скомпрометирован, злоумышленник не смог бы отправить Вам вредоносное обновление.

Удалённая конфигурация (updates.mailtwin.ai)

MailTwin запрашивает небольшой JSON-документ по адресу https://updates.mailtwin.ai/config.json примерно раз в четыре часа. Его задача — переключить аварийный выключатель на конкретной комбинации провайдер/модель, если стороннее API внезапно меняет несовместимое поведение. Запрос несёт тот же User-Agent, что и appcast выше, и никакой другой информации о клиенте.

Телеметрия с явным согласием (telemetry.mailtwin.ai)

Только по согласию — выключена по умолчанию. Если Вы включаете её в «Настройки → Конфиденциальность», MailTwin отправляет анонимные события использования на https://telemetry.mailtwin.ai/events. Каждое событие содержит:

• Имя события вроде action.invoked или action.failed.
• Свойства: использованный провайдер ИИ, тип действия (ответ/резюме/…), класс ошибки, длительность в миллисекундах.
• Анонимный install ID (случайный UUID, генерируемый при первом включении; ротируется при выключении).
• Номер сборки MailTwin и строку версии macOS.

Телеметрия никогда не содержит содержимое писем, адреса, темы, написанные Вами свободные промпты, ответы ИИ, Ваше имя и e-mail. Полный список источников событий — это TelemetryEvent в нашем коде; те события, которые MailTwin реально поставил в очередь в этой сессии, видны в «Настройки → Конфиденциальность → „Показать, что было отправлено“».

События телеметрии принимает Cloudflare Worker и сохраняет в Cloudflare D1 (база SQLite). Smilodon AS использует их, чтобы понимать, какие функции востребованы, какие провайдеры ИИ ведут себя плохо и каким версиям приложения / macOS нужно внимание. Мы их не продаём, не сдаём в аренду и не передаём третьим лицам.

Вы можете отключить телеметрию в любой момент. После этого локальная очередь очищается, анонимный install ID меняется, отправка прекращается.

Отчёты о сбоях

MailTwin пишет дампы сбоев в ~/Library/Logs/MailTwin/. Они остаются на Вашем Mac, пока Вы не настроите endpoint для загрузки в «Настройки → Конфиденциальность». По умолчанию endpoint не задан; поле пустое, пока Вы его не заполните.

Платежи и лицензирование (LemonSqueezy)

Покупки обрабатывает LemonSqueezy в качестве торгового агента (merchant of record). Когда Вы покупаете лицензию, LemonSqueezy собирает данные, нужные для обработки платежа и налогового соответствия (Ваше имя, e-mail, страна, реквизиты оплаты). Применяется их политика конфиденциальности. Smilodon AS получает от LemonSqueezy через webhook Ваше имя, e-mail, страну и подробности заказа.

Активация лицензии вызывает https://api.lemonsqueezy.com/v1/licenses/* с Вашего Mac, передавая лицензионный ключ и хешированный отпечаток машины (получен из IOPlatformUUID плюс bundle id). Отпечаток нужен, чтобы соблюдать лимит мест. У Smilodon AS нет своего сервера лицензий.

Чего мы никогда не собираем

• Содержимое писем в любом виде, кроме того, что Вы сами отправляете выбранному провайдеру ИИ.
• Адреса электронной почты (Ваши и чужие).
• Темы писем.
• Свободные промпты, которые Вы написали.
• Ответы ИИ-провайдеров.
• Ваш IP-адрес в связке с любым другим идентификатором, который у нас есть.

Ваши права (GDPR, CCPA)

Вы можете экспортировать свои локальные настройки в JSON-файл («Настройки → Конфиденциальность → Экспорт настроек») и одним кликом удалить все локальные данные («Настройки → Конфиденциальность → Удалить всё»). Для данных, которые есть у Smilodon AS (Ваша запись о покупке в LemonSqueezy, строки телеметрии, привязанные к Вашему анонимному install ID), напишите на [email protected], и мы ответим в течение 30 дней, как требует GDPR / CCPA.

Поскольку строки телеметрии связаны только с ротируемым install ID и никак не связаны с e-mail из покупки, в запрос на удаление телеметрии нужно включить install ID, который можно посмотреть в «Настройки → Конфиденциальность → „Показать, что было отправлено“».

Дети

MailTwin не предназначен для детей младше 13 лет. Мы заведомо не обрабатываем данные людей младше 13 лет.

Изменения этой политики

Существенные изменения публикуются здесь и упоминаются в release notes приложения. Дата «Последнее обновление» в начале отражает самое свежее изменение.

Контакты

Smilodon AS
Норвегия
[email protected] — вопросы по конфиденциальности, [email protected] — вопросы по продукту.